HTTP DoS vagy miez?

 ( mauzi | 2016. február 29., hétfő - 18:07 )

Az utóbbi időben gyakran riaszt és avatkozik be a DoS (nem DDoS!) védelem, hogy egy forrás IP-ről rövid idő alatt (jellemzően 1-3 másodperces időablakon belül) 20-150 oldallekérés érkezett ugyanarra a weboldalra. (Az URL-ek különböznek, mintha egy crawler akarná végignézni az egész weboldalt)

Az oldallekérés alatt valódi oldalgenerálást tessék érteni, tehát nem a GET-ek számát. (Tehát nem arról van szó, hogy egy oldalgenerálás + a járulékos statikus tartalmak - css, js, képek, stb.)

A kliensek jellemzően legitimnek látszó, dinamikus IP-s ügyfelek szerte a világból. A user agent string alapján Chrome-os desktop géptől Androidon át minden van benne. (már, ha a user agent string bármennyire is fedi a valóságot)

Ez vajon mi lehet, és mi értelme van?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem lettel veletlenul proxy? Akkor a fel vilag rajtad keresztul akar forgalmazni. Es egy ceges fix ip mogotti gepek egynek latszanak.

Webszerver logot tudsz feltenni (privat adatok nelkul)?

Hö? Idézem magamat:

"egy forrás IP-ről rövid idő alatt (jellemzően 1-3 másodperces időablakon belül) 20-150 oldallekérés érkezett ugyanarra a weboldalra."

A cél URL-ek (GET) egy konkrét, helyben kiszolgált weboldal érvényes URL-jei. A jelenség teljesen olyan, mintha egy crawler akarná egyszerre feltérképzeni az egész oldalt, vagy valamilyen weboldal-lementő szoftver próbálná egyszerre, több szálon parallelizált kérésekkel letölteni az egész oldalt.

A jelenség kb. 1-3 másodpercig áll fenn, és naponta átlagosan 1-2 alkalommal fordul elő, de mindig más és más weboldalakkal.

Nincs valami közös az oldalakban? Példul a CMS rendszer alattuk?

van köztük Wordpress, Drupal, Joomla, de talán még más is...

Jogos, azaz egy oldalhoz jönnek a GET-ek és mindegyik egy oldalra mutat?

Nem lehet, hogy valamilyen böngészőnek van egy oldal előtöltő (precache) funkciója, ami előre letölti a potenciálisan meglátogatandó oldalakat? https://en.wikipedia.org/wiki/Link_prefetching

Éjszaka még az jutott eszembe, hogy ezt abból is lehet(ne) látni, hogy csak az oldalak töltődnek le, a bennük foglalt képek nem. Illetve a session is ugyanaz. Milyen böngészőnek látszik a logban?

Black ICE kell neked :)

*

Mondjuk, esetleg egy maszkolt sql inject szkript?
--
Coding for fun. ;)

Mindegyik Chrome/Android? Akkor valami huncut push/pull dolgot néznék meg vagy zárnék ki. Amolyan Web Push dolgot. Már persze ha az érintett oldalak legalább elméletileg képesek erre. Arra tippelek, hogy valami miatt egyszerre szinkronizálódott n user y számú kliensére ez az információ, és közös a 0 idő.